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Die folgendon Angaben sind den vom An me I dor eingereichten Unterlagen entnommen 

(S) Verfahren zum Schutz vor Angriffen auf den Authentifizierungsalgorithmus bzw. den Geheimschlussel einer 
Chipkarte 

(S) Die Enlndung betrifft ein Verfahren zum Schutz vor An- 
griffen auf den Authentifizierungsalgorithmus bzw. den 
Geheimschlussel einer Chipkarte (SIM) in einem Netz- 
werk zur Nachrichtenubertragung, vorzugsweise in ei- 
nem GSM-Netzwerk, bei dem in einer Chipkarte (SIM) ein 
Algorithmus sowte ain geheimer Schlussel gespeichert 
ist, wobei zur Authentifizierung zunachst vom Neizwerk 
oder einer Netzwerkkomponente eine Zufailszahl an die 
Chipkarte ubertragen wird, in der Chipkarte mittels des 
Algorithmus, der Zufailszahl und des geheimen Schlus- 
sei s ain Antwortsignal erzeugt wird, das an das Neizwerk 
bzw. die Netzwerkkomponente ubermittelt wird, urn dort 
die Authentizitat der Karte zu uberprufen. GemaB der Er- 
findung ist ein Zahler zur Aufzeichnung der Anzahl der 
insgesamt mit der Karte durchgefuhrten Authentifikati- 
onsvorgange vorgesehen. Es wird weiterhin ain oberer 
Grenzwert fur die Anzahl der insgesamt mit der Karte 
durchzufuhrenden Authentifikationsvorgange vorgege- 
ben und bei jeder Authentication der Zahler erhdht und 
mit dem vorgegebenen oberen Grenzwert verglich en. 
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Beschrcibung 



Die Erfindung bctrifTt cin Vcrfahrcn zum Schutz vor An- 
griffen auf den Aumenufizierungsalgorithmus b*/.w. den Gc- 
heimschlussel einer Chipkarte (SIM) in cinem Netzwcrk zur 
Nachrichtcnubcrtragung, vorzugsweisc in einem GSM- 
Netzwerk, nach dem Oberbegritf des Anspruchs 1 . 

Bei GSM-Systcmcn ist cs hckanm, daB sich zum Gc- 
brauch der Chipkarte (Subscriber Identity Module SIM) zu- 
nachst der Benutzer raittels einer persdnlichen Identifikati- 
onsnummer (PIN) als zur Benutzung bercchugt ausweiscn 
muB. Urn an dieserStelle MiBbrauch zu vermciden, istes fur 
die PLN-Eingabc bckannt, cincn Fehlerzahler vorzuschen. 
der nach Uberschreiten einer zulassigen Anzahi von Fehl- 
versuchen den weiteren Gebrauch der Karte unterbindet. 

Eine weitere, systemrelevante SicherheitsmaBnahme be- 
stent in der Authentisierung der Kane gegenuber dem Mo- 
fa i If unknetz. Zu dicscm Zwcck ist in der Kartc cine von au- 
Oen nicht zugangliche Geheimnummer und ein ebenfails 



Schliisscls und bei Bekanniscin des Algorithmus konnen 
wcscntlichc Funktionseiemcntcdcr Karte simuliert bzw. du- 
plizicrt werden. 

Es ist deshalb Aufgabe der Erfindung, ein sichcrcs Vcr- 
5 fahren zum Schutz vor AngrirFen auf den Authentilizie- 
rungsalgorithmus bzw. den Gcheimschlussel einer Chip- 
karte in eincm Nachrichtensystcm anzugeben, bei dem eine 
sichcrc Riickmcldung iibcr die Authentihzicrung an die tcil- 
nehmende Chipkarte nicht erfolgt. 

10 Diese Aufgabe wird gcmaB der Erfindung ausgehend von 
den Merkmalcn des OberbegrifFs des Anspruchs 1 durch die 
kennzeichnenden Mcrkmalc des Anspruchs I gelost. 

Vorteilhaflc Ausgcsialtungen der Erfindung sind in den 
abhangigen Anspruchcn angegeben. 

15 GemaB der Erfindung wird vorgeschlagen, die beliebig 
haufige Wiederholung des Idenufizierungsvorgangs dadurch 
zu unterbinden. daB in der Karte oder im Netzwerk ein Zah- 
ler vorgeschen wird, wcichcr die Anzahi der insgesamt 
durchgefuhrten Authenufizierungsversuche festhalt. Der ak- 



von auBen nicht zuganglicher, gegebenen falls geheimer A I- 20 tuelle Zahlerstand wird bei jeder Authenufizierung mil ei- 

gorithmus abgelegt. Zur Authenufizierung wird vom Netz- nem vorgebbaren oberen Grenzwert vergiichen. Durch die 

werk bzw. einer Netzwerkkomponente eine Zufailszahl er- Ziihlung der Anzahi der insgesamt durchgefiihrten Authen- 

zeugt, die der Karte mitgeteiU wird. Die Karte berechnet aus tifikationsversuche wird in vorteilhafter Weise zum einen 

dieser Zufailszahl und dem geheimen Schlussel mitteis des erreicht, daB die fehiende Riickmcldung des Authenufizie- 

AlgorithmuscincSignalantwort, wclchc dem Netzwcrk mi t- 25 rungscrgebnisscs nicht zwangslaufig in der Nichtanwcnd- 



geteilt wird. Diese Antwort wird im Netzwerk analysiert 
und es wird, bei positivem Ergebnis. Zugang zu den Netz- 
werkfunktionen erlaubt. 

Aus der deutschen Patentschrift DE 43 39 460 CI ist cin 
Vcrfahrcn zur Authenufizierung cincs Systcmtcils durch ein 
anderes Systemteil eines Informauonsubertragungssystems 
nach dem Challenge and Response-Prinzip bekannt Die 
• dort beschriebene Datentrageranordnung ist mit einem Wer- 
tespeicher versehen, dem eine Kontrolleinrichtung zugeord- 



barkeit der Vbrgabe einer Obergrenze fur die maximal zulas- 
sige Anzahi der Authentifizicrungsversuche endet und zum 
anderen kann der Zahler. da ein Rucksetzen nicht erlaubt ist. 
durch ein unzulassiges Rucksetzsignal nicht auBer Kraft ge- 
30 sctzt werden. 

GemaB einer vorteilhaften Ausfuhrungsform der Erfin- 
dung liegt der vorgegebene obere Grenzwert hoher als die 
geschatzte Anzahi der mit der Karte iiblicherweise auszu- 
ruhrenden Authcndfikauonsvorgange. Zur Auslegung der 



net ist. Wcilcrhin ist ein nicht fliichugcr, begrenzbarer Feh- 35 oberen Grcnzc ist deshalb jewcils an Hand der Schlusscl- 



lerzahler sowie eine Sperrvorrichtung vorgesehen. Bei dem 
Authcnufizicrungsvcrfahrcn ist die tragbarc Datcntragcran- 
ordnung zunachst gesperrt und wird erst nach Verandem des 
Fehlerzahlerstandes freigegeben. Von dem Endgerat werden 
darauflrin Zufallsdatcn zur tragbarcn Datentrageranordnung *o 
ubertragen. Diese Daten werden sowohl im Endgerat als 
auch in der tragbaren Datentrageranordnung durch einen ge- 
heimen Algorithmus und geheime Schlusseldaten zu Au- 
dienufikauonsparametern verarbeitet. Die im Endgerat er- 
zeugten Authenufikationsparameter werden im weiteren zur 45 
tragbaren Datentrageranordnung ubermittelt und mit den 
dort bcrcchneten Authentifikationsparamctcrn vergiichen. 
Bei Ubereinsdmmung wird der Fehlerzahler ritckgesetzt. 

Bei dem bekannten Stand der Technik wird also bei jedem 
Bearbeitungsvorgang der Fehlerzahler erhohl und bei er- 
folgreicher Beendigung des Bearbeitungsverfahrens riickge- 
sctzt. Bei Oberschrciten eines vorgegebenen Grenzwcrtcs 
fur die Anzahi der Fehlversuche werden weitere Authendfi- 
zierungsversuche nicht zugelassen. 

Bei der Authenufizierung im GSM-Netz besteht das Pro- 
blem, daB die Karte nicht iiber eine fehlgeschlagene Authen- 
ufizierung informicrt wird, sondern cs wird lediglich im Sy- 
stem eine Uberprufung durchgefuhrt, die enrweder zum Ab- 
bruch der Verbindung oder zur Zulassung des Teilnehmers 
zu den Netzdiensten fuhrt. 

Auch in einem derartigen Netz besteht die Gefahr, daB 
durch Angriffc auf den Algorithmus, der zur Authenufizie- 
rung verwendet wird, das Netzwerk beispielsweise in einem 
Computer simuliert werden kann, indem ausgewahlte "Zu- 
fallszahlen" nach dem standardisierten Protokoll an die 65 
SEM- Karte ubermittelt werden und daraus bei mehrfachen 
Authcmifizicrungsvcrsuchcn der Gcheimschlussel der Chip- 
karte ermittelt werden kann. Nach Ermittlung des geheimen 



lange und der sonstigen Randbedingungen eine Risikoab- 
schatzung durchzuruhrcn. wobci bei vcrtrctbarcm Risiko die 
obere Grenze moglichst uber der Anzahi der zu erwartenden. 
regularen Authenufikauonen anzusetzen ist. urn nicht eine 
fiir den Benutzer unangenchnic vorzeitige Spcrrung der 
Karte in Kauf zu nehmen. Die vorgegebene obere Grenze 
sollte uberdies unter der zu erwartenden Anzahi der Vfersu- 
che liegen, die notwendig sind, urn den geheimen Schlussel 
herauszufinden. 

Eine weitere vorteilhafte Ausgeslaitung der Erfindung 
sieht vor, daB der Zahler in der Chipkarte realisiert ist und 
der Verglcich mit dem oberen Grenzwert in der Chipkarte 
ausgefuhrt wird. Damit kann bei einer Simulation des Net- 
zes durch einen Computer zumindest die Simulation der 
Zahierstande vermieden werden. 

Fiir den Fall, daB beispielsweise aufgrund mangelnden 
Speichcrplatzcs oder sonstiger Umstandc cine Realisierung 
des Zahlers auf der Karte nicht mbglich ist, kann die Reali- 
sierung auch im Netz erfolgen. wobei vorzugsweise die 
Zahlerdaten vor jeder Authenufizierung verschliisselt an die 
Karte ubertragen werden. 

GemaS einer weiteren vorteilhaften Ausgestaltung der Er- 
findung werden bei Oberschrciten des oberen Grenzwertes 
einzelne oder alle Funktionen der Chipkarte blockieru so 
60 daB die Funktionsfahigkeit der Karte zumindest stark einge- 
schrankt wird. 

Aliernativ oder zusatzlich kann bei Uberschreiten des 
Grenzwertes an das Netzwerk oder eine entsprechende 
Netzwerkkomponente eine Information ubermittelt werden. 
wodurch im Netzwerk die Funktionen der Karte (SIM) zu- 
mindest uberwacht werden konnen. Mit dieser Information 
konnen femer scitens des Nctzwcrkcs bzw. der Netzwerk- 
komponente einzelne oder alle Funktionen der Kane ge- 
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sperrt werden. 

Es ist femer vorteilhaft, in alien ATR-Bcrichten der Karte 
auf das Oberschrcitcn dcrobcrcn Grenze hinzuwcisen. 

Insbesondere fur den Fall, daB die oberc Grcnze fur die 
zulassige Anzahl an Authentifizierungsverfahrcn mit hoher S 
Wahrschcinlichkcil klcincr als die zu crwartendc rcgularc 
Anzahl von Authentifiziemngcn ist. ist es vorteilhaft, einen 
altcmativcn gchcimcn Schliisscl in der Kane abzulcgcn. Bci 
Erreichen der oberen Grenze kann somit auf einen neuen 
Geheimschiiissel umgestellt werden, wobei hierbei eben- io 
falls ein neuer Zahler initiiert wird bzw. der Zahler rtickge- 
setzt wird. 

Ncben dem Umschalten auf einen weitcrcn gcheiinen 
Schlussel. kann ebenfalls eine neue IMSI selektiert werden. 
so daB nach Erreichen des oberen Grenzwertes auf ein neues 15 
IMSI/Schliissel-Paar zugegriffen wird. 

Insbesondere fur SIM'S, die iiber eine eigene Energiever- 
sorgung und darnit iiber cine interne Zcitmcssung verfugen 
konnen, kann es auch vorteilhaft sein, nach einer langeren 
Zeirdauer den Zahler zyklisch riickzusetzen. 20 

Es kann weiterhin neben dem oberen Grenzwert ein zwei- 
ter Grenzwert vorgesehen werden, der untcr dem oberen 
Grenzwert liegt. Damit ist die Moglichkeit gegeben, dem 
Netzwerk bereits vor Erreichen des oberen Grenzwertes 
cine Information zukornmcn zu lasscn, die es dem Nctz- 25 
werkbetreiber erlaubt, beispielsweise dem Benutzer recht- 
zeitig eine neue Karte auszustellen, wenn die Funkuonen 
der im Gebrauch befmdlichen aufgrund der Oberschreitung 
der zulassigen Anzahl an Authentifikationen in absehbarer 
Zcit gespcrrt werden. 30 

Im folgenden wird die Erfindung beispielhaft anhand ei- 
nes Ausfiihrungsbeispiels gemiiB den Fig. I und 2 beschrie- 
ben. 

Fig. 1 zeigt den Ablauf der kryptographischen Funktio- 
nen des SIM im GSM-Netz. 35 

Fig. 2 zeigt die fur die Erfindung wesentlichen Elemente 
des SIM. 

In Fig. I ist der Datenaustausch zwischen der Chipkarte 
(SIM) und dem Netzwerk iiber die Luftschnittsteile darge- 
stcllt. «> 

Bei der Fig. 1 wird voniusgesetzt, daB der iibliche Vor- 
gang der PIN-Verifizierung abgeschlossen ist. Im AnschluB 
an diese PIN-Verifizierung wird von mobilen Einheit, in der 
sich die Karte befindet, eine Nachricht an das Netzwerk ge- 
sendet, welche die IMSI (international mobile subscriber 45 
identity) bzw. TMSI (temporary mobile subscriber identity) 
cnthaiL Aus der IMSI bzw. TMSI wird im Netzwerk nach 
einer vorgegebenen Funktion oder mirtels einer Tabelle der 
geheime Schlussel Kj ermittelt, der in der Chipkarte (SIM) 
in einem nicht zuganglichen Speicherbereich abgeiegt ist. 50 
Der geheime Schlussel wird fiir die spatere Verifizierung des 
Authentifikationsvorganges benotigt. 

Vom Netzwerk wird der Authentifizieningsvorgang in- 
itialisiert, indem eine Zufallszahl (RAND) berechnet wird, 
die iiber die Luftschnittsteile in die Chipkarte (SIM) ubertra- 55 
gen wird. 

In der Chipkarte wird daraufhin mittcls einer Auihentisic- 
rungsfunktion aus dem geheimen Schlussel IQ und der Zu- 
fallszahl RAND das Authentisierungsergebnis SRES gebil- 
det, das iiber die Luftschnittsteile an das Netzwerk ubertra- 60 
gen wird. Im Netzwerk wird ebenfalls mitiels der geheimen 
Funktion und der Zufallszahl RAND sowic dem geheimen 
Schlussel ein Authentisierungsergebnis SRES* gebildet. 
f m Netzwerk findet weiterhin ein Vergleich der Authentisie- 
rungsergebnisse SRES und SRES' statu wobei bei Gleich- 65 
heit der Authenufizierungsvorgang erfolgreich abgeschlos- 
sen wird. wahrend bei Ungleichhcit ein Abbruch der Verbin- 
dung vorgenommen wird, da sich die Karte des Teilnehmers 



nicht auihentisiert hat. 

In der Chipkarte SIM wird gemiiB der Erfindung entweder 
vor odcr nach der Authcntisierung der Zahlcrstand cincs 
Authentifikations-Zahlers erhdht. Im AnschluB an die Zah- 
lererhohung wird in der Chipkarte SIM ein Vergleich des ak- 
tuellcn Zahlerstandcs mil dem oberen Grenzwert Z^, wel- 
cher die maximal zulassige Anzahl der Authentifizierungs- 
vorgangc angibt, vcrg lichen. Fiir den Fall. daB Z < 4b ist, 
konnen im Netzwerk alle Dienste in Anspruch genommen 
werden, fiir die der Benutzer autorisiert ist. Fiir den Fall, dafi 
der aktuelle Zahlerstand Z den oberen Grenzwert Z^, er- 
reicht oder uberschritten hat, kann entweder chipkartensei- 
tig cine Spcrrung SP der Chipkarte und damit der Netzwerk- 
runktionen eingeleitet werden oder es kann alternativ oder 
zusatzlich eine Nachricht Mess an das Netzwerk iibermittelt 
werden, woraufhin im Netzwerk verschiedene Akdonen 
eingeleitet werden konnen, wie beispielsweise die Uberer- 
wachung der SIM-Aktivitatcn, das Nichtzulasscn besdmm- 
ter Dienste im Netzwerk, oder die Sperrung der gesamten 
Dienste, die der Benutzer ublicherweise nach erfolgreicher 
Authentifizierung in Anspruch nehmen kann. 

Die Fig. 2 zeigt ein Ausruhmngsbeispiel einer Chipkarte 
SIM, die eine Schnitistelle S zum Datenaustausch mil einem 
Mobilfunktelefon aufweist so wie einen Mikroprozessor up. 
der mit einem Zahler Z und einem Spcichcr M, M g vcrbun- 
den ist. Der Zahler Z kann im wesentlichen als Hardward- 
zahler ausgebildet sein oder cr ist als Softwarezahler pro- 
grammiert. Der Speicher ist unierteill in den iiblichen Spei- 
cherbereich M, in dem Daten ausgelesen und eingeschrieben 
werden konnen und in den gchcimcn Speicherbereich M s ., in 
dem zumindest der geheime Schlussel IQ sowie der Authen- 
tisierungsalgorithmus abgeiegt sind. Wenn iiber die Schnitt- 
stelle S die Zufallszahl RAND erhalten wird. initiiert der 
Mikroprozessor up zum einen die Erhohung des Ziihlers Z 
sowic den Vergleich des aktucllen Zahlcrstands rait der obe- 
ren Grenze Z^ und zum anderen wird aus dem geheimen 
Speicherbereich M g der geheime Schlussel Kj sowie der AI- 
gorithmus geladen. um die Authentifizierungs-Berechnung 
durchzufuhren und das Ergebnis SRES zu erhalten. 

Patentanspriiche 

1. Verfahren zum Schutz vor Angriffen auf den Au- 
thentifizierungsalgorithmus bzw. den Geheimschiussel 
(Kj) einer Chipkarte (SIM) in einem Netzwerk zur 
Nachrichtenubertragung, vorzugsweise in einem 
GSM-Nctzwcrk, bci dem in einer Chipkarte (SIM) ein 
Algorithmus sowie ein geheimer Schlussel (!Q) gespei- 
chert ist, wobei zur Authentifizierung 

- zunachst vom Netzwerk oder einer Netzwerk- 
komponente eine Zufallszahl (RAND) an die 
Chipkarte iibertragen wird. 

- in der Chipkarte mittels des Algorithmus. der 
Zufallszahl (RAND) und des geheimen Schltissels 
(KO ein Antwortsignal (SRES) erzeugt wird. das 
an das Netzwerk bzw. die Netzwerkkomponente 
iibermittelt wird, um don die Authcntizitat der 
Karte (SIM) zu uberpriifen. 
dadurch gekennzeichnet. daB 

- ein Zahler (Z) zur Aufzeichnung der Anzahl der 
insgesamt mit der Kane durchgeruhrten Authenu- 
fikationsvorgangc vorgesehen isu 

- ein oberer Grenzwert (Z^) tiir die Anzahl der 
insgesamt mit der Karte durchzufiihrenden Au- 
thendfikaiionsvorgange vorgegeben wird. und 

bei jeder Authentifikauon der Zahler (Z) erhoht 
und mit dem vorgegebenen oberen Grenzwert 
(Zm„) verglichen wird. 
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2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB der obcre Grenzwert (Z,mJ hdher liegt als die 
gcschatzte, mit einer Kartc durchgcfUhrtc Anzahl an 
Auihentifikaiionen und niedriger liegt als die zu erwar- 
tendc Anzahl der filr die Ermittlung des geheimen S 
SchlUssels notwendigcn Authcntifizicrungsvorgangc. 

3. Verfahren nach Anspruch I oder 2, dadurch gekenn- 
zeichnet, daB der Zahlcr (Z) in der Chipkartc implc- 
mentieri ist und der Vergleich des aktuellen Zahlerstan- 
des mit dem oberen Grenzwert (ZnaJ in der Chipkartc to 
durchgefuhrt wird. 

4. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB der Zahlcr in eincr Netzwerkkomponente 
irnplementiert ist und der Vergleich des aktuellen Zah- 
lerstandes mit dem oberen Grenzwert (Zn^J in einer 15 
Netzwerkkomponente durchgefuhrt wild. 

5. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, dafl bci Oberschreitcn des obe- 
ren Grenzwertes (Z^) einzelne oder alle Funktionen 
der Chipkarte (SIM) blockiert werden. 20 

6. Verfahren nach einem der Anspriiche I bis 4, da- 
durch gekennzeichnet, daB bei Oberschreiten des vor- 
gegebenen oberen Grenzwertes (Zm*i) an das Netz- 
werk oder eine Netzwerkkomponente eine Information 
ubermittelt wird und das Netzwerk infolgc dicscr Infor- 25 
mation die Aktivitaten der Chipkarte (SIM) QberwachL 

7. Verfahren nach Anspruch 6, dadurch gekennzeich- 
net, daB das Netzwerk eine Anfrage initiiert, gemafi der 
die Funktionen der Chipkarte geioscht oder einge- 
schrankt werden. 30 

8. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, daB nach Erreichen des oberen 
Grenzwertes (Znao) in alien Answer to Reset-(ATR- 
)Berichten ein Hinweis erzeugt wird, daB der Ziihler 
scinen Hdchststand erreicht hat. 35 

9. Verfahren nach einem der vorhergehenden Ansprii- 
che I bis 8, dadurch gekennzeichnet, daB bei Erreichen 
des oberen Grenzwertes (Z^ des Zahlers das Netz- 
werk oder die Chipkarte (SIM) das Umschalten auf ei- 
nen alteraativen, in der Chipkarte abgelegten, Geheim- •« 
schlUssel 0Q initiiert. 

10. Verfahren nach einem oder mehreren der Ansprii- 
che 1 bis 9, dadurch gekennzeichnet, daB nach Errei- 
chen des Hochststandes des Zahlers (Z) auf ein alterna- 
tives EMSI/geheimes Schlussel-Paar umgestelli wird. <s 

11. Verfahren nach einem der Anspriiche 1 bis 10, da- 
durch gekennzeichnet, daB der Authentifikations-Zah- 
ler nach einer vorgegebenen Zeit zurifckgesetzt wird. 

12. Verfahren nach einem der Anspriiche 1 bis 11, da- 
durch gekennzeichnet, daB neben dem oberen Grenz- 50 
wert (ZmajJ ein zweiter Grenzwert vorgegeben wird, 
der unterhalb des oberen Grenzwertes liegt, und bei 
dessen Erreichen ein Signal an das Netzwerk gesendet 
wird, in dem auf das nahende Erreichen des oberen 
Grenzwertes (Z>m*x) hingewiesen wind. 55 
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